← Blog / Para colegios

Ley 21.719 explicada para colegios: lo que cambia con datos de niños

La nueva ley chilena de protección de datos personales entra en vigencia plena en 2026. Para colegios y sostenedores: qué exige, qué riesgos trae, y qué hacer ahora antes que después.

5 min de lectura
Índice del artículo
  1. Lo que la Ley 21.719 trae para un colegio
  2. 1. Consentimiento granular, ya no global
  3. 2. Derechos ARCOS+P del titular del dato
  4. 3. Brechas: notificar en 72 horas
  5. 4. DPO (Delegado de Protección de Datos)
  6. 5. Multas que sí duelen
  7. Categorías de datos que un colegio típico maneja
  8. Lo que el sostenedor debe hacer antes de que llegue una fiscalización
  9. Datos del niño y plataformas externas: el punto crítico
  10. Cómo Yumo se posiciona ante la 21.719
  11. Lo siguiente para ti

Si dirigís un colegio en Chile, en 2026 te toca convivir con la entrada en vigencia plena de la Ley 21.719 — la nueva ley de protección de datos personales. No es la antigua Ley 19.628 actualizada; es un cambio de marco completo. Y los colegios, que tratan datos de niños, están entre los primeros en mira.

Este post no reemplaza asesoría legal. Es para que sepas, en 5 minutos, qué está cambiando, qué se te está exigiendo y dónde están las multas.

Lo que la Ley 21.719 trae para un colegio

Cinco cambios concretos que afectan operación diaria:

1. Consentimiento granular, ya no global

Antes, una sola autorización cubría “tratamiento de datos para fines del establecimiento”. Ahora cada finalidad necesita su consentimiento específico:

  • Inscripción y matrícula → un consentimiento
  • Comunicación con apoderados → otro
  • Compartir información con sostenedor → otro
  • Compartir con plataformas externas (Colegium, Lirmi, Yumo, etc.) → otro
  • Uso de imagen del niño en redes del colegio → otro

El consentimiento debe ser específico, libre, informado y revocable.

2. Derechos ARCOS+P del titular del dato

El titular del dato es el apoderado (mientras el niño es menor de edad). Tiene derecho a:

  • Acceso: ver qué datos tiene el colegio del niño
  • Rectificación: corregir errores
  • Cancelación: borrar
  • Oposición: oponerse al tratamiento
  • Supresión: equivalente a “derecho al olvido”
  • +Portabilidad: pedir los datos en formato estructurado para llevárselos

El colegio tiene plazos máximos para responder estas solicitudes. Ignorarlas es infracción.

3. Brechas: notificar en 72 horas

Si pierdes un disco duro con datos del colegio, te roban una laptop, o un funcionario filtra información, tienes 72 horas para notificar a la Agencia de Protección de Datos (la nueva autoridad creada por la ley) y, según la gravedad, a los apoderados afectados.

72 horas. No “cuando termine la investigación interna”.

4. DPO (Delegado de Protección de Datos)

Las organizaciones que tratan datos personales sistemáticamente deben designar un DPO — punto de contacto formal con la autoridad y con los apoderados. En un colegio mediano-grande es típicamente el sostenedor o un funcionario administrativo. El nombre del DPO debe ser público y reachable.

5. Multas que sí duelen

La Ley 21.719 escala las multas según gravedad: hasta 20.000 UTM (~CLP 1.300 millones al cambio actual) por infracción más grave. Para un colegio mediano, una multa intermedia puede ser inviable.

Categorías de datos que un colegio típico maneja

Pirámide de tres niveles de datos: identificatorios (base), académicos (medio), sensibles (cima). 72h para notificar brechas y multa hasta 20.000 UTM

Conviene revisar qué tienes y bajo qué consentimiento:

CategoríaSensibilidadConsentimiento requerido
Datos identificatorios (RUT, nombre, dirección)EstándarSí, específico
Datos académicos (notas, asistencia, observaciones)Estándar
Datos de salud (PIE, alergias, certificados médicos)SensibleSí, reforzado
Datos de imagen (fotos, videos)Estándar a sensibleSí, separado
Datos psicológicos (informes psicopedagógicos, reportes)SensibleSí, reforzado
Datos de comportamiento digital (Google Workspace, plataformas)Estándar

Los datos sensibles (salud, psicológicos) tienen requisitos extra: consentimiento expreso por escrito, finalidad específica, retención limitada.

Lo que el sostenedor debe hacer antes de que llegue una fiscalización

Lista práctica:

  1. Mapear todos los datos que se tratan en el colegio (registro de actividades de tratamiento — exigido por la ley).
  2. Revisar contratos con plataformas externas: Colegium, Lirmi, gestores de notas, Google Workspace, Microsoft 365, plataformas pedagógicas como Yumo. Cada una debe tener acuerdo de tratamiento de datos firmado.
  3. Designar y publicar un DPO.
  4. Actualizar consentimientos del proceso de matrícula 2026 — granulares, no globales.
  5. Procedimiento documentado de brechas — quién responde, en qué plazo, a quién notifica.
  6. Política de retención: ¿cuánto tiempo se guardan datos académicos después de que el niño egresa? La ley exige plazos justificados, no “para siempre”.
  7. Capacitación a personal. La mayoría de las brechas en establecimientos educacionales en Latinoamérica vienen de personal administrativo, no de hackers externos.

Datos del niño y plataformas externas: el punto crítico

Cualquier plataforma que reciba datos de niños del colegio (incluyendo Yumo, si lo usas) debe:

  • Tener su propio DPO público
  • Haber firmado convenio de tratamiento con el colegio
  • Permitir derechos ARCOS+P al apoderado, no sólo al colegio
  • Tener protocolo de brechas
  • Cumplir con retención limitada y borrado verificable

Una pregunta concreta para la dirección: las plataformas que usa hoy tu colegio ¿cumplen con esto? Probablemente algunas sí, otras no. Identificar las que no cumplen es lo primero.

Cómo Yumo se posiciona ante la 21.719

Para transparencia, así operamos respecto a la ley:

  • DPO designado, reachable vía formulario público en los Términos del producto
  • Consentimiento del apoderado, no del colegio: la cuenta Yumo la crea el apoderado, no el colegio; el apoderado decide individualmente si comparte el reporte con el colegio o no
  • Derecho al olvido en serio: si el apoderado borra la cuenta, se borra todo (sesiones, respuestas, reportes), no sólo el frontend
  • Sin transferencia masiva de datos a sostenedores: no firmamos convenios de bulk-data; cada apoderado autoriza individualmente
  • Datos en infraestructura dedicada: cifrado en reposo, backups encriptados, sin terceros analíticos sobre datos del niño

Si tu colegio quiere usar Yumo institucionalmente, el flujo no requiere que el colegio se convierta en custodio de PII: los datos viven en la familia y en Yumo, el colegio recibe sólo lo que el apoderado decide compartir.

Esto te protege a ti como sostenedor: una plataforma menos en tu mapa de riesgo de brechas.

Lo siguiente para ti

Tres pasos concretos antes que avance 2026:

  1. Auditoría interna de datos — cualquier estudio jurídico con foco regulatorio puede entregarte un reporte por menos de lo que cuesta una multa pequeña.
  2. Renegociar contratos con tus plataformas críticas para que cumplan con la 21.719 si no lo hacen.
  3. Hablar con tus apoderados antes de la matrícula 2026 sobre qué datos pediste y por qué — la transparencia preventiva reduce conflictos posteriores.

Si quieres explorar cómo Yumo funcionaría en tu colegio sin que se vuelva problema 21.719, escríbenos a hola@yumo.cl y conversamos un piloto.

Y si te interesa entender cómo encaja un screener formativo dentro de la gestión pedagógica del colegio (independiente del aspecto legal), revisa Diagnóstico por curso, SIMCE y PAES: tres cosas distintas.

Este post es informativo, no constituye asesoría legal. Para implementación específica, consultar con abogado experto en protección de datos. Texto completo de la Ley 21.719 disponible en bcn.cl/leychile.

E

Firmado por · Editorial

Editorial Yumo

Notas escritas por el equipo editorial de Yumo, revisadas contra fuentes oficiales (MINEDUC, Ley 21.719) y validadores con RUT verificable.

Si te quedó la duda

Yumo es gratis hoy mientras se construye el banco.

15 minutos de juego, un reporte por mail, sin tarjeta. Si no te sirve, borras la cuenta y se va todo.

Probar con mi hijo

Yumo no es un instrumento clínico. La información de este artículo es educativa y no reemplaza la opinión de un profesional habilitado. Las decisiones diagnósticas son responsabilidad del psicólogo, profesor o equipo PIE habilitado.

Seguir leyendo · misma audiencia

1 de mayo de 2026

Diagnóstico por curso, SIMCE y PAES: tres cosas distintas que conviene no confundir

Para directores y UTP: por qué un diagnóstico formativo por curso no es ni reemplaza al SIMCE ni a la PAES. Y por qué los tres pueden convivir en un colegio que toma decisiones con datos.